Home » Spyware & Browser Hijacker Support Forum » werde immer auf "http://t.swapx.cc/h.php?aid=20009" geleitet » Themenansicht
werde immer auf "http://t.swapx.cc/h.php?aid=20009" geleitet |
||
|---|---|---|
| #0
| ||
|
26.10.2004, 16:06
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
26.10.2004, 16:08
Ehrenmitglied
 Beiträge: 29434 |
#32
#RegCleaner (Deutsch)
http://www.chip.de/downloads/c_downloads_8830516.html Damit kommst du in die registry: Tools<Starte den Regeditor< mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.10.2004, 18:12
...neu hier
Beiträge: 4 |
#33
Habe alles befolgt und jetzt läufts wieder *juhu*
Allerbesten Dank! Hier mein "neuer" Log ...kannst ja nochmal Bescheid sagen, wenn da irgendwas noch nicht stimmen sollte! ogfile of HijackThis v1.98.2 Scan saved at 17:58:17, on 26.10.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\DIR00002\SYSTEM\KERNEL32.DLL C:\DIR00002\SYSTEM\MSGSRV32.EXE C:\DIR00002\SYSTEM\MPREXE.EXE C:\DIR00002\SYSTEM\mmtask.tsk C:\DIR00002\EXPLORER.EXE C:\DIR00002\TASKMON.EXE C:\DIR00002\STARTER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\DIR00002\SYSTEM\DDHELP.EXE C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE C:\PROGRAMME\WINRAR\WINRAR.EXE C:\DIR00002\TEMP\RAR$EX00.682\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80 F1 - win.ini: run=C:\DIR00002\hpfsched.exe O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\DIR00002\SYSTEM\2XKY8D~1.DLL (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\DIR00002\SYSTEM\MSDXM.OCX O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\MESSENGER\YCOMP.DLL O4 - HKLM\..\Run: [TaskMonitor] C:\DIR00002\taskmon.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\DIR00002\SYSTEM\QTTASK.EXE" -atboottime O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart O9 - Extra button: Player! - {C377C94E-5A4F-11d3-940D-00001CD3D236} - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\DIR00002\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\DIR00002\SYSTEM\MSJAVA.DLL O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE O12 - Plugin for .pcg: C:\PROGRA~1\INTERN~1\PLUGINS\nppcgplg.dll O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\Plugins\nppcaplg.dll O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = HOUSE O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129,217.5.115.7 Dieser Beitrag wurde am 27.10.2004 um 10:52 Uhr von Sabina editiert.
|
|
|
|
|
|
|
27.10.2004, 10:48
Ehrenmitglied
Beiträge: 29434 |
#34
Hallo@ruderudi
Fixe mit dem HijackThis, dann neustarten O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\DIR00002\SYSTEM\2XKY8D~1.DLL (file missing) neustarten "oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\DIR00002\SYSTEM\2XKY8D~1.DLL #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt http://www.almisoft.de/traxex2.htm Dann aktualisiere UNBEDINGT den IE #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 und poste das Log noch mal. _____________________________________________________________ Tip: #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/index.html Opera http://www.opera7.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.10.2004 um 10:51 Uhr von Sabina editiert.
|
|
|
|
|
|
|
29.10.2004, 10:58
...neu hier
Beiträge: 1 |
#35
Hallo @Sabina,
habe das Problem, keinen 020-Eintrag zu finden, der eigentlich für das Problem verantwortlich sein sollte... konnte auch in den bisherigen Einträgen nicht meine Entries finden: Logfile of HijackThis v1.97.7 Scan saved at 10:56:46, on 29.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\HP\KBD\KBD.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=191 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=191 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=191 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=191 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/ R3 - URLSearchHook: _URLHandler - {9337C435-655C-4B13-AB3F-2A9136BC9AA6} - C:\PROGRA~1\GMXUPL~1\DFSDrive.dll O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CD46ZU~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe O4 - Startup: Verknüpfung mit TeaTimer.lnk = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O13 - WWW Prefix: O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de O15 - Trusted Zone: *.greg-search.com O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38110.5301967593 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{32C88028-F1BD-44C4-AA2B-FC2B63CB3175}: NameServer = 217.237.151.33 217.237.149.225 Werde schon völlig wahnsinnig, weil ich ständig bei jedem Pop-Up auf der "Cool Web Search"-Seite lande! Herzlichen Dank im Voraus! Moritz |
|
|
|
|
|
|
29.10.2004, 23:44
Ehrenmitglied
Beiträge: 29434 |
#36
Hallo@Spywared
Lade die aktuelle Version: (die alte deinstalliere) HijackThis: http://www.downloads.subratam.org/hijackthis.zip oeffne das HijackThis, <scan< anhaken< fix< PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=191 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=191 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=191 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=191 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/ R3 - URLSearchHook: _URLHandler - {9337C435-655C-4B13-AB3F-2A9136BC9AA6} - C:\PROGRA~1\GMXUPL~1\DFSDrive.dll O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CD46ZU~1.DLL O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs O15 - Trusted Zone: *.greg-search.com neustarten #Deinstalliere <C:\PROGRA~1\GMXUPL~1 <C:\Programme\MyWay\myBar #oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\hosts.vbs PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\PROGRA~1\GMXUPL~1\DFSDrive.dll <PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\CD46ZU~1.DLL PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL PC neustarten #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #saeubere den IE #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt http://www.almisoft.de/traxex2.htm Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<reinschreiben : cleanmgr Temporary Internet Files, O.K Temporary Files, O.K _____________________________________________________________________ Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp * #und den Scanner oeffnen, aber noch nicht scannen #die "kavupd.exe" (automatisches Update ueber DOS) ausführen. ( unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, zusammen mit dem neuen Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.10.2004 um 23:50 Uhr von Sabina editiert.
|
|
|
|
|
|
|
30.10.2004, 01:29
...neu hier
Beiträge: 2 |
#37
Hallo an alle!!!
Ich habe momentan ein ähnliches Problem mit meinem Internet-Explorer. Die Web-Adresse die ich festlege springt immerwieder automatisch zu "****://t.swapx.cc/h.php?aid=20009" oder auch auf "****://super-spider.com/redin.php?id=617&qq=4;tsc=ffffff;tsw=1;sz=275x100;ord=1099093050468;" umgeleitet. Habe das Hijack-tool benutzt und das ist dabei herausgekommen: Logfile of HijackThis v1.98.2 Scan saved at 01:10:58, on 30.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\cfos - DSL\cFosDNT.exe C:\WINDOWS\System32\devldr32.exe D:\soundblaster 5.1\AudioHQ\AHQTB.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\System32\CTsvcCDA.EXE D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\spupdsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\yo-eddy\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\VLY1F4~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [cFosDNT] D:\cfos - DSL\cFosDNT.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [AHQInit] d:\soundblaster 5.1\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] d:\soundblaster 5.1\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - Startup: IM-L.lnk = D:\iMesh Light\SmartStart.exe O4 - Startup: server[1].exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://d:\OFFICE~1\Office10\EXCEL.EXE/3000 O15 - Trusted Zone: *.greg-search.com O17 - HKLM\System\CCS\Services\Tcpip\..\{764F32BB-DBB1-46D5-88EF-8BCD98A69876}: NameServer = 217.237.150.97 217.237.149.161 O20 - AppInit_DLLs: cjp3jn03gi8n93.dll Aber was nun? Was gehört dort tatsächlich hin und wo könnte sich der Übeltäter versteckt haben? Wer kann mir helfen? Gruß, Oli (Ganimed) Dieser Beitrag wurde am 30.10.2004 um 01:40 Uhr von Ganimed editiert.
|
|
|
|
|
|
|
30.10.2004, 10:54
Ehrenmitglied
Beiträge: 29434 |
#38
Hallo@Ganimed
oeffne das HijackThis<scan< anhaken< fix <PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\VLY1F4~1.DLL O4 - Startup: server[1].exe [????] O15 - Trusted Zone: *.greg-search.com O20 - AppInit_DLLs: cjp3jn03gi8n93.dll neustarten Oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\VLY1F4~1.DLL PC neustarten #Start<Ausfuehren<cmd in das DOS-Fenster reinkopieren attrib -h %systemroot%\system32\cjp3jn03gi8n93.dll & ren %systemroot%\system32\cjp3jn03gi8n93.dll Badfile.bad <enter< HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\cjp3jn03gi8n93.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\spupdsvc.exe PC neustarten Deaktiviere deinen Virenscanner und lade: #Testversion "Antivirus Personal 5.0" http://www.kaspersky.com/trials Saeubere den IE #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt http://www.almisoft.de/traxex2.htm Poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.10.2004 um 10:59 Uhr von Sabina editiert.
|
|
|
|
|
|
|
31.10.2004, 16:56
...neu hier
Beiträge: 2 |
#39
Hallo!
Wird wohl langsam lästig, aber auch ich habe ganz ähnliche Probleme. Habe versucht nach den bereits gepostetn Alneitungen vorzugehen, musste aber immer wieder feststellen dass bei mir einige Einträge fehlen oder andere scheinbar Verantwortliche bei mir auftauchen und bei anderen nicht. Bitte also um eine "individuelle" Lösung für mich. Bin Laie und traue mich nicht (v.a. in der Registry) selbstsändig irgendwas zu verändern. Im Voraus schonmal tausend Dank! Hier mein Log: Logfile of HijackThis v1.98.2 Scan saved at 16:58:10, on 31.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\PTSNOOP.EXE C:\WINDOWS\SYSTEM\CMMPU.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\PROGRAMME\ISTSVC\ISTSVC.EXE C:\PROGRAMME\PANICWARE\POP-UP STOPPER FREE EDITION\PSFREE.EXE C:\WINDOWS\SYSTEM\PH48R19LKMYXO5.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=31403 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=31403 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=31403 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=31403 F1 - win.ini: load=ptsnoop.exe F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\N0G5NS~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRAMME\PANICWARE\POP-UP STOPPER FREE EDITION\PSFREE.EXE" O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\PH48R19LKMYXO5.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .WAV: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O15 - Trusted Zone: *.greg-search.com O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab |
|
|
|
|
|
|
31.10.2004, 17:17
...neu hier
Beiträge: 2 |
#40
Hallo,
Ich habe das Problem leider nicht mit dem HijackThis Tool in den Griff bekommen aber dafür dann mit dem Kaspersky Anti Virus Programm. Alles ist wieder wie gewohnt und die Spyware ist verschwunden ;o) Hier kann Mann/Frau das kostenlose Programm herunterladen! (Achtung!!! ist nur eine Testversion): http://www.kaspersky.com/trials?chapter=146481750 Das "Problem" ist nur, man muß Norton Anti-virus (oder andere Anti Virenprogramme) dafür erstmal vom Rechner deinstalieren, sonst funktioniert es nicht und der PC stürzt ständig ab und man muß immer erst im "Abgesicherten Modus" starten um das Programm erst wieder zu deinstalieren. Habe dann mit dem Kaspersky insgesammt, sage und schreibe 329 Viren und Trojaner auf meinem System entdecken können und habe alle erfolgreich entfernt! (Norton hatte zum Vergleich gerade mal 26 infizierte Dateien gefunden). Wer will kann es ja mal damit versuchen, ich kann dazu nur sagen, ein Top Programm das ich jetzt nur noch benutzen werde! Gruß und danke nochmal an alle!!!! Dieser Beitrag wurde am 31.10.2004 um 17:19 Uhr von Ganimed editiert.
|
|
|
|
|
|
|
31.10.2004, 18:48
Ehrenmitglied
Beiträge: 29434 |
#41
HalloKristina-B
Bei Win98 bin ich leider ueberfragt, aber du musst folgendes loeschen: F1 - win.ini: load=ptsnoop.exe F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe <Windows-Start - Ausführen - sysedit.exe eingeben - OK klicken <oder: eingeben: c:\windows\win.ini - OK klicken # Loesche: wenn du das bei run=\load= findest. F1 - win.ini: load=ptsnoop.exe F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe # Click File > Save. # Click File > Exit. oeffne das HijackThis < scan< anhaken< fix< PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=31403 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=31403 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=31403 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=31403 F1 - win.ini: load=ptsnoop.exe F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\N0G5NS~1.DLL O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\PH48R19LKMYXO5.EXE O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O15 - Trusted Zone: *.greg-search.com O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab neustarten oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren C:\WINDOWS\SYSTEM\N0G5NS~1.DLL PC neustarten Loesche:auf diese Weise <C:\WINDOWS\PTSNOOP.EXE <C:\PROGRAMME\ISTSVC\ISTSVC.EXE <C:\WINDOWS\SYSTEM\PH48R19LKMYXO5.EXE <C:\WINDOWS\SYSTEM\cmmpu.exe <C:\Programme\ISTbar\istbar.dll Suche und loesche: <C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\iinstall.exe <C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01234567\istbar_mainstream[1].dll <C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHIJKLMN\0006_regular[1].cab Lade ebenfalls den Kaspersky (deaktiviere aber vorher deinen Virenscanner) http://www.kaspersky.com/trials?chapter=146481750 Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen # AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Dann aktualisiere den IE #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 Saeubere den IE #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt http://www.almisoft.de/traxex2.htm Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.10.2004 um 19:03 Uhr von Sabina editiert.
|
|
|
|
|
|
|
31.10.2004, 20:39
...neu hier
Beiträge: 2 |
#42
Juhuu!!!...mit eurer Hilfe, d.h. durchs Lesen eurer Anleitungen und Tipps hab ich diese blöde Internet-Startseite endlich losbekommen...und das obwohl mein Sohn meinte, ich solle bloß die finger weglassen, ich würde alles nur noch schlimmer machen ....vielen vielen Dank :-) :-)
Dieser Beitrag wurde am 31.10.2004 um 21:34 Uhr von Sabina editiert.
|
|
|
|
|
|
|
31.10.2004, 21:34
Ehrenmitglied
Beiträge: 29434 |
#43
Hallo@bibimaus
poste mal das Log vom HijackThis, zur Ueberpruefung http://www.downloads.subratam.org/hijackthis.zip Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten) Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.10.2004 um 21:38 Uhr von Sabina editiert.
|
|
|
|
|
|
|
03.11.2004, 08:02
...neu hier
Beiträge: 2 |
#44
Lange keiner mehr mit diesen Browsernappin` zu tun gehalbt...ich hoffe das mir trotzdem jemand helfen kann...
Logfile of HijackThis v1.98.2 Scan saved at 15:55:22, on 01.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\WINNT\System32\svchost.exe C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\Programme\F-Secure\Common\FSMB32.EXE C:\Programme\F-Secure\Common\FCH32.EXE C:\Programme\F-Secure\Common\FAMEH32.EXE C:\Programme\F-Secure\Common\FNRB32.EXE C:\Programme\F-Secure\Common\FIH32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\atiptaxx.exe C:\Programme\FreePDF\FreePDFA.exe C:\Programme\F-Secure\Common\FSM32.EXE C:\WINNT\Mixer.exe C:\WINNT\system32\internat.exe C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe C:\WINNT\System32\svchost.exe C:\Programme\SAP\FrontEnd\SAPgui\saplogon.exe C:\Dokumente und Einstellungen\stbor\Eigene Dateien\HighJackThin\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=30090 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=30090 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=30090 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=30090 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=30090 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer by Maxdata R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=1.1.2.51:8080;http=1.1.2.51:8080;https=1.1.2.51:8080 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINNT\System32\g998eorpft.dll (file missing) O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 53.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [romahere] C:\WINNT\System32\matrixhere.exe O4 - HKLM\..\Run: [Network Security Guard] C:\WINNT\System32\sgrggwen5vb.exe O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINNT\startsvs.exe O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\wineek32.exe O4 - HKLM\..\Run: [Control handler] C:\WINNT\ahjinst.exe O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll O4 - HKCU\..\Run: [romahere] C:\WINNT\System32\matrixhere.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O15 - Trusted Zone: *.greg-search.com O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C4636252-C130-41E4-AA57-2BCE75C79E37}: Domain = OTTOREICHELTAG.COM O17 - HKLM\System\CCS\Services\Tcpip\..\{C4636252-C130-41E4-AA57-2BCE75C79E37}: NameServer = 10.48.248.95,10.48.248.94 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = OTTOREICHELTAG.COM O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = OTTOREICHELTAG.COM O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = OTTOREICHELTAG.COM O20 - AppInit_DLLs: l6gkzg9o7top5.tlb gyj4ydelr9o2b.tlb 7rto55xx5mmk.tlb txzzzgpw84iiw.tlb dtfjnuueb0.tlb 31zf8igmrtw.tlb uk4n0xhdrnkb.tlb Schonmal Danke im Voraus für eure Hilfe...les echt interessiert in euren Forum !!! Dieser Beitrag wurde am 03.11.2004 um 10:10 Uhr von Sabina editiert.
|
|
|
|
|
|
|
03.11.2004, 09:36
Ehrenmitglied
Beiträge: 29434 |
#45
Hallo@WoTwin
Gehe in die Registry Start<Ausfuehren<regedit loesche in der Registry (rechts), abhaengig von den vorhandenen Daten des Trojaners die Eintraege. http://www.sophos.de/virusinfo/analyses/trojsmallju.html Oeffne das HijackThis< scan< anhaken< fix< PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=30090 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=30090 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=30090 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=30090 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=30090 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINNT\System32\g998eorpft.dll (file missing) O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 53.dll (file missing) O4 - HKLM\..\Run: [romahere] C:\WINNT\System32\matrixhere.exe O4 - HKLM\..\Run: [romahere] C:\WINNT\System32\matrixhere.exe O4 - HKLM\..\Run: [Network Security Guard] C:\WINNT\System32\sgrggwen5vb.exe O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINNT\startsvs.exe O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\wineek32.exe O4 - HKLM\..\Run: [Control handler] C:\WINNT\ahjinst.exe O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll O4 - HKCU\..\Run: [romahere] C:\WINNT\System32\matrixhere.exe O15 - Trusted Zone: *.greg-search.com O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O20 - AppInit_DLLs: l6gkzg9o7top5.tlb gyj4ydelr9o2b.tlb 7rto55xx5mmk.tlb txzzzgpw84iiw.tlb dtfjnuueb0.tlb 31zf8igmrtw.tlb uk4n0xhdrnkb.tlb neustarten #oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINNT\System32\g998eorpft.dll PC neustarten Diese Prozedur machst du (immer PC neustarten ) mit: <C:\WINNT\EliteToolBar\EliteToolBar version 53.dll <C:\WINNT\System32\matrixhere.exe <C:\WINNT\startsvs.exe <C:\winnt\system32\wineek32.exe <C:\WINNT\ahjinst.exe <C:\WINNT\System32\sgrggwen5vb.exe <C:\WINNT\System32\image.dll #suche und loesche. <ger_nopop.exe <0006_adult.cab <v3cab Loesche: l6gkzg9o7top5.tlb gyj4ydelr9o2b.tlb 7rto55xx5mmk.tlb txzzzgpw84iiw.tlb dtfjnuueb0.tlb 31zf8igmrtw.tlb uk4n0xhdrnkb.tlb #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr Temporary Internet Files, O.K Temporary Files, O.K #ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser. http://www.clearprog.de/downloads.php Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen <Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen http://www.mwti.net/antivirus/free_utilities.asp * danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten (zusammen mit dem neuen HikackThis-Log ...vorher eine neue Startseite einstellen) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.11.2004 um 10:09 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
kurze Nachfrage (bin leider nicht so fit in solchen sachen) ;-)
was ist die "Registry" und wie komme ich da rein?